共用方式為

Microsoft Entra 雲端同步所支援的拓撲結構與情境

  • 發行項

本文說明使用 Microsoft Entra 雲端同步的各種內部部署和Microsoft Entra 拓撲。本文僅包含支援的設定和案例。

重要

Microsoft 不支援在正式記載的設定或動作以外修改和操作 Microsoft Entra 雲端同步。 任何這些設定或動作都可能導致 Microsoft Entra 雲端同步處理進入不一致或未被支援的狀態。因此,Microsoft 無法提供這類部署的技術支援。

如需詳細資訊,請觀看下列影片。

需要記住的有關所有情境和拓撲的事項

選取解決方案時,應該記住下列資訊。

  • 使用者和群組必須在所有樹系中可唯一識別。
  • 使用雲端同步時不會跨樹系進行比對。
  • 系統會自動選擇物件的來源錨點。 其會使用 ms-DS-ConsistencyGuid (如果存在的話),否則會使用 ObjectGUID。
  • 您無法變更用於來源錨點的屬性。

Active Directory 至 Microsoft Entra ID 支援的拓撲

下列拓撲支援從 Active Directory 佈建至 Microsoft Entra ID。

單一林區、單一 Microsoft Entra 租用戶

圖表顯示單一樹系和單一租用戶的拓撲。

最簡單的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 如需此情況的範例,請參閱教程:具單一 Microsoft Entra 租用戶的單一樹系

多樹林、單一 Microsoft Entra 租戶

多樹系和單一租戶的拓撲

多個 AD 樹系是一種常見的架構,可能包含一個或多個網域,以及單一的 Microsoft Entra 租戶。

具有 Microsoft Entra Connect 的現有樹系,具有雲端佈建的新樹系

圖表顯示現有樹系和新樹系的拓撲。

此案例拓撲類似於多樹系案例。 不過,此專案牽涉到現有的Microsoft Entra Connect 環境,然後使用 Microsoft Entra Cloud Sync 引進新的樹系。如需此案例的範例,請參閱 教學課程:具有單一Microsoft Entra 租使用者的現有樹系

在現有的混合式 AD 樹系中試驗 Microsoft Entra 雲端同步

單一樹系和單一租戶的拓撲結構

試驗案例涉及 Microsoft Entra Connect 和 Microsoft Entra 雲端同步同時存在於相同的樹系中,並據此設定使用者和群組的範圍。 注意:物件應該僅在其中一個工具的範圍之中。

如需此案例的範例,請參閱教程:在現有的同步 AD 樹系中導入 Microsoft Entra 雲端同步

從中斷連線的來源合併物件

(公開預覽)

從中斷連線來源合併物件的圖表

在此案例中,使用者的屬性由兩個中斷連線的 Active Directory 樹系所產生。

有一個範例如下:

  • 一個樹系 (1) 包含多數屬性。
  • 第二個樹系 (2) 包含一些屬性。

由於第二個樹系沒有 Microsoft Entra Connect 伺服器的網路連線,因此無法透過 Microsoft Entra Connect 合併物件。 第二個樹系中的雲端同步允許從第二個樹系擷取屬性值。 Microsoft Entra Connect 會同步處理 Microsoft Entra ID 中的物件,然後將值合併到該物件中。

此為進階設定,且此拓撲有一些注意事項:

  1. 您必須使用 ms-DS-ConsistencyGuid 作為雲端同步設定中的來源錨點。
  2. 第二個樹系中使用者物件的 ms-DS-ConsistencyGuid 必須符合 Microsoft Entra ID 中對應物件的屬性。
  3. 您必須在第二個樹系中填入 UserPrincipalName 屬性和 Alias 屬性,而且它們必須與從第一個樹系同步來的屬性相符。
  4. 您必須從雲端同步設定中移除所有屬性,這些屬性在沒有值或者可能在第二個樹系中有不同的值。您無法在第一個樹系和第二個樹系之間建立重疊的屬性對應。
  5. 如果在第一個樹系中沒有相符的物件,那麼針對從第二個樹系同步的物件,雲端同步仍會在 Microsoft Entra ID 中建立該物件。 物件僅包含在第二個樹系的雲端同步對應配置中定義的屬性。
  6. 如果您從第二個樹系刪除物件,它會在 Microsoft Entra ID 中暫時虛刪除。 它會在下一個Microsoft Entra Connect 同步處理周期之後自動還原。
  7. 如果您從第一個樹系中刪除該物件,則會從 Microsoft Entra ID 軟刪除它。 除非對第二個樹系中的物件進行變更,否則不會還原物件。 30 天後,物件會從 Microsoft Entra ID 中永久刪除。 如果對第二個樹系中的對象進行變更,則會在 Entra ID Microsoft 中建立為新的物件。

Microsoft Entra ID 至 Active Directory 支援的拓撲

支援從 Microsoft Entra ID 佈建至 Active Directory 的下列拓撲。

將單一樹系群組佈建至 Active Directory

單一樹系回寫的概念圖表。

最簡單的群組佈建拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 如需此案例的範例,請參閱將群組佈建至 Active Directory (部分機器翻譯)

將多樹系群組佈建至 Active Directory

多樹系回寫的概念圖表。

更進階的群組佈建拓撲包含多個共用單一Microsoft Entra ID 租用戶的內部部署 AD 樹系

此配置為進階設置,使用此拓撲時需要記住一些事項:

  • 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全群組。
  • 所有這些使用者都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
  • onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
  • 內部部署使用者的 objectGUID 屬性可以透過 Microsoft Entra 雲端同步 (1.1.1370.0) 或 Microsoft Entra Connect 同步 (2.2.8.0) 同步到雲端使用者的 onPremisesObjectIdentifier 屬性。
  • 在您的租戶內,您可以共用一個包含來自這兩個樹系使用者的群組。
  • 不過,那些在其他樹系中不存在的使用者,在內部部署時,不會成為布建群組的成員。 因此,如果您的群組位於 Microsoft Entra ID 中,其中包含來自 contoso.com 和 fabrikam.com 的使用者,則布建至 contoso.com 時,只有存在於 contoso.com 樹系中的使用者是群組的成員。 fabrikam公司也是如此。

下一步